插件錢包安全事件一覽：饱受偽造軟件和釣魚攻擊困擾，直接官方漏洞較少

BlockBeats 消息，12 月 26 日，今晨用户基數最大的非托管加密錢包 Trust Wallet 官方發布安全警報，確認瀏覽器插件 2.68 版本存在安全漏洞，鏈上偵探 ZachXBT 披露已有數百名 Trust Wallet 用戶資金被盜，損失金額已至少達 600 萬美元。Trust Wallet 累計下載量超 2 億次，月活用戶約 1700 萬，佔據約 35% 的市場份額，此次安全事件影響廣泛。回顧多家主流瀏覽器插件曾遭遇的安全事件如下：

Trust Wallet 瀏覽器插件還曾在 2022 年 11 月被發現 WebAssembly 漏洞，僅影響 2022 年 11 月 14 至 23 日期間創建的新錢包地址。導致約 17 萬美元資金被盜，Trust Wallet 通過漏洞懸賞程序發現問題，修復漏洞，並全額補償受影響用戶。

MetaMask 曾在 2022 年出現「Demonic」漏洞，影響 10.11.3 之前的舊版本，私鑰可能在瀏覽器內存中暴露，但無已知大規模資金損失。此後 2023 至 2025 年期間 MetaMask 官方錢包插件安全運行，但頻繁受假冒擴展程序影響，Chainalysis 報告顯示 2025 年 MetaMask 用戶異常被盜事件激增，主要原因是假冒惡意軟件和釣魚，而非插件錢包安全性本身。MetaMask 對此進行每月安全報告發布，但作為流行的以太坊插件錢包，仍成為假冒的首要目標。

Phantom（Solana 主力錢包插件）也曾正 2022 年受「Demonic」漏洞影響，但同樣無已知大規模資金損失。2025 年初出現涉及 Phantom 錢包插件的安全爭議，某用戶損失 50 萬美元，歸因於私鑰未經 Phantom 加密存儲在內存中，導致駭客攻擊，並在紐約南區法院提起集體訴訟。Phantom 官方聲明強烈否認了所有指控，稱訴訟「毫無根據」，強調 Phantom 是非托管錢包，資金安全責任在用戶。

Rabby Wallet（DeFi 友好插件）2022 年因 Rabby Swap 漏洞導致駭客竊取約 20 萬美元加密資產，漏洞並非來自插件本身而是內置 Swap 功能。

瀏覽器擴充功能錢包最常見的被盜方式是假冒應用下載，2025 年 Firefox 商店出現多次此類事件集中爆發，影響 MetaMask、Phantom、Trust Wallet 等多個主流加密擴充功能錢包。反觀擴充功能的直接官方漏洞卻較少，建議用戶僅從官方 Chrome Web Store 下載，確保資金安全。